¿Qué es el ransomware cuántico?
Tabla de contenidos:
Quantum ransomware, una cepa que ha captado una atención significativa desde su descubrimiento en julio de 2021, ha demostrado ser una forma de ransomware especialmente maliciosa y de rápida evolución. A medida que los profesionales de la ciberseguridad se esfuerzan por mantenerse un paso por delante de los ciberdelincuentes, comprender las intrincaciones y el impacto potencial de Quantum ransomware se vuelve imperativo. Es una subvariante del ransomware MountLocker, junto con AstroLocker y XingLocker. A pesar de ser menos activa que sus cepas hermanas, exige pagos de rescate que van desde $150,000 hasta varios millones de dólares, lo cual está a la par con la cepa madre.
Una de las características más destacadas de Quantum ransomware es que se utiliza en ataques extraordinariamente veloces. Las víctimas suelen tener solo unas pocas horas entre la infección inicial y la encriptación de sus archivos. Aprovechando el elemento sorpresa, los atacantes frecuentemente atacan fuera del horario laboral. El grupo Quantum incluye miembros de Conti, otro notorio grupo de ciberdelincuencia que recientemente cerró voluntariamente sus operaciones de ransomware para resurgir como parte de otros subgrupos de ransomware que abarcan motivaciones y estrategias operativas distintas.
Los adversarios han establecido una plataforma operativa en TOR específicamente diseñada para la negociación del rescate junto con una plataforma de filtración de datos llamada «Quantum Blog.»
Un objetivo principal del ransomware Quantum en el último año fueron los actores de la industria de la salud. El grupo logró infiltrarse en una red de 657 proveedores de salud, resultando en el robo de la información personal de más de 1.9 millones de víctimas.
Como parte de sus métodos iniciales de infiltración, los adversarios emplearon el malware IcedID (entregado por correo electrónico) como un medio para obtener acceso, aprovechando Cobalt Strike para control remoto. Esto resultó en la adquisición ilícita de información sensible y la implementación de Quantum Locker para la encriptación de datos.
¿Qué es Quantum Locker?
A lo largo de los últimos dos años, el ransomware Quantum Locker ha ganado notoriedad por sus ataques rápidos y decisivos, otorgando a los equipos del centro de operaciones de seguridad un marco de tiempo estrecho para implementar medidas de respuesta efectivas. En ciertos casos, los adversarios han logrado desplegar el ransomware en apenas cuatro horas desde el ataque.
Al caer víctima de la brecha, a las empresas y personas afectadas se les otorga un plazo limitado de 72 horas para establecer comunicación con los perpetradores. No hacerlo resulta en que los datos robados se hagan disponibles en un sitio web público mencionado anteriormente en este artículo, accesible para descargas gratuitas por cualquier persona.
Para agilizar el proceso de encriptación, el ransomware Quantum identifica y detiene procesos de servicios de bases de datos, eliminando sus restricciones de acceso al contenido valioso de la base de datos y permitiendo que el ransomware lo encripte. El procedimiento primario de encriptación de Quantum emplea un ejecutable .dll o .exe, utilizando un esquema de criptografía híbrida que emplea ChaCha20 para la encriptación simétrica de archivos y una clave pública RSA-2048 para encriptar la clave de encriptación simétrica única ChaCha20.
Uso de IcedID como Acceso Inicial
El ransomware Quantum se distribuye a través de campañas de phishing por correo electrónico dirigidas, utilizando malware de primera etapa como IcedID o BumbleBee loader. Escrito en C++, BumbleBee opera como un cargador, abarcando una función singular responsable de la inicialización, el manejo de respuestas y la transmisión de solicitudes. Al ejecutarse en un dispositivo comprometido, el malware recopila diligentemente los datos de la víctima y los comunica al servidor de mando y control (C2). IcedID (también conocido como BokBot) representa una variante relativamente reciente de malware clasificada tanto como troyano bancario como troyano de acceso remoto (RAT). Notable por sus capacidades, IcedID está a la par con otros troyanos bancarios avanzados como Zeus, Gozi y Dridex. Como malware de segunda etapa, IcedID depende de malware de primera etapa precedente para establecer el acceso inicial y facilitar su despliegue. Descubrimientos recientes han revelado nuevas variantes de IcedID que se desvían de su funcionalidad típica de fraude bancario en línea. En cambio, estas variantes priorizan la instalación de malware adicional en los sistemas comprometidos. En una desviación notable de su modus operandi tradicional, IcedID ha experimentado una evolución significativa, demostrando un cambio en sus objetivos. En lugar de dirigirse exclusivamente al fraude bancario en línea, estas nuevas iteraciones colocan un énfasis aumentado en establecer un punto de apoyo dentro de sistemas comprometidos para facilitar el despliegue de otras cargas maliciosas.
Estas cargas importan el ransomware Quantum Locker principal y herramientas suplementarias a sistemas comprometidos.
El correo electrónico malicioso comprende un archivo de imagen .iso, que alberga el cargador IcedID en formato de un DLL (dar.dll). Además, el correo electrónico incluye un archivo de acceso directo .LNK engañoso diseñado para parecer un documento legítimo mientras en realidad apunta a la carga IcedID.
Posteriormente, los atacantes se involucran en un reconocimiento de red rápido, apuntando particularmente a obtener acceso remoto a escritorio (RDP) a otros hosts de la red. Si se obtiene acceso a sistemas adyacentes, los atacantes transfieren manualmente el binario de encriptación Quantum, ttsel.exe, a la carpeta compartida de cada host.
Durante las primeras etapas de un ataque Quantum, se emplea una variedad de kits de herramientas, incluidos el Cobalt Strike Beacon, Rclone, la herramienta de tunelización Ligolo, ProcDump, ADFind y el Servicio de subsistema de autoridad de seguridad local (Lsass.exe), para el reconocimiento de red y el movimiento lateral. NPPSpy se utiliza para robar datos sensibles mientras que se aprovechan herramientas LOTL (operar con lo que se tiene en el entorno), como WMI, PsExec y PowerShell. Es importante notar que los ataques Quantum dependen principalmente de exploits manuales realizados por operadores humanos en lugar de confiar en scripts automáticos intrincados o kits de herramientas. Una de las técnicas más sofisticadas de Quantum, conocida como «vaciamiento de procesos», implica iniciar un proceso cmd.exe e inyectar CobaltStrike en la memoria del proceso para evadir la detección. Para mantener operaciones encubiertas, Quantum detecta y termina activamente procesos asociados con análisis de malware, como ProcMon, Wireshark, CND y el administrador de tareas.
Quantum Ransomware se ve desplegado en ataques de red rápidos
Lo que distingue al ransomware Quantum Locker es su velocidad de ejecución sin igual. En cuestión de horas, los adversarios ejecutan con éxito el ransomware, dejando a los profesionales de seguridad con un tiempo mínimo para responder de manera efectiva. Las consecuencias pueden ser graves, con datos críticos retenidos como rehenes y operaciones empresariales paralizadas. A diferencia de muchos ataques automatizados de ransomware, el ransomware Quantum es predominantemente operado por operadores humanos calificados. Este enfoque manual permite a los atacantes adaptar sus técnicas y evadir medidas de seguridad tradicionales, lo que lo hace aún más desafiante para las organizaciones detectar y mitigar la amenaza.
Los adversarios han adoptado la velocidad como un arma potente, explotando rápidamente vulnerabilidades e infiltrándose en los sistemas en minutos o incluso segundos. El elemento de sorpresa combinado con una ejecución rapidísima ha demostrado ser muy efectivo para los ciberdelincuentes. Las consecuencias de los ataques cibernéticos ejecutados rápidamente son de largo alcance. Las organizaciones se encuentran lidiando con datos comprometidos, operaciones interrumpidas y daño reputacional en tiempo récord. Además, el ritmo acelerado de estos ataques pone una presión tremenda sobre los equipos de seguridad, que deben identificar y contener rápidamente la brecha para minimizar el impacto.
Para ayudar a las organizaciones a mantenerse al día con los crecientes volúmenes y la sofisticación incrementada de los ataques de ransomware Quantum, la plataforma SOC Prime ofrece un conjunto de reglas Sigma seleccionadas para la detección proactiva. Al hacer clic en el botón Explore Detections , los equipos pueden obtener la lista completa de reglas Sigma relevantes mapeadas a MITRE ATT&CK® v12 y enriquecidas con un contexto de amenaza cibernética integral. Todas las reglas Sigma también están listas para desplegarse en docenas de soluciones de seguridad, ayudando a las organizaciones a evitar el bloqueo del proveedor.
Antecedentes del Ransomware Quantum
Aunque Quantum Locker puede no mostrar el mismo nivel de actividad que otras operaciones de ransomware prominentes como Conti, LockBit, y AVOS, sigue siendo una amenaza significativa que demanda atención de los defensores de la red. Es crucial entender que el panorama de amenazas evoluciona constantemente, y grupos de ransomware como Quantum ransomware pueden adaptar rápidamente sus TTPs para explotar vulnerabilidades y evadir la detección. Al mantener una conciencia de las técnicas de Quantum Locker, los defensores pueden anticipar mejor y responder a posibles ataques, implementando medidas de seguridad robustas, realizando copias de seguridad regulares, parcheando vulnerabilidades con prontitud y educando a los empleados sobre el phishing y otras técnicas de ingeniería social.
La actividad reducida de Quantum Locker podría atribuirse a varios factores, incluidos cambios en el enfoque operativo de los atacantes, prioridades cambiantes, o esfuerzos aumentados de los profesionales de ciberseguridad para interrumpir sus operaciones. Sin embargo, es importante señalar que incluso un pequeño número de ataques exitosos puede llevar a pérdidas financieras sustanciales, daños reputacionales y interrupciones operativas para las entidades objetivo. Los ataques cibernéticos rápidos se han convertido en una nueva tendencia preocupante, planteando desafíos significativos para las organizaciones en todo el mundo. A medida que los adversarios continúan explotando vulnerabilidades con velocidad vertiginosa, es crucial que las empresas fortalezcan sus defensas en consecuencia.
Explora SOC Prime Platform para armar a tu equipo con las mejores herramientas que cada defensor cibernético debería tener a mano sin importar el nivel de madurez y el stack tecnológico en uso. Confía en el poder del conocimiento colectivo de la industria para beneficiarte de soluciones de vanguardia respaldadas por el lenguaje Sigma utilizado en combinación con el marco MITRE ATT&CK para habilitar una defensa cibernética rentable y a prueba de futuro.
